もはや気休めに過ぎないパスワードにいつまで頼るのか

常態化するパスワード漏えい

　パスワードは一般に漏らしてはいけないものとされている。もちろんその通りなのだが、現実にパスワードは漏れている。それもかなり大量だ。9月7日、日経ビジネスに16億件ものID・パスワード情報が流出しているという記事が掲載された。トヨタやソニーなど日本企業に関するアカウントも数万件レベルで確認されているといい、ちょっとした話題にもなった。

　実は、このようなニュースは珍しいものではない。過去を遡れば、ヤフー、eBay、Facebook、アマゾンなど主だったサービスや大企業のアカウント情報の漏えい事件は何度となく発生している。大規模な情報漏えいの場合、そのデータは単一の目的や特定の攻撃に利用されることは少ない。多くはリスト型攻撃のためのアカウントデータとして、世界中の犯罪者に販売され、利用される。ダークウェブや闇市場では、誰が集めたかわからない数十億件規模のID/パスワード情報がデータベース化されていたり、アンダーグラウンドのファイル交換所に転がっていたりする。

　リスト型攻撃の被害としては、この夏に発生し9月にニュースになったdポイントの不正利用が記憶に新しい。加盟店にリスト型攻撃をしかけられ、奪取したアカウントによってポイントが利用された。これらのインシデントは特殊な例ではなく、窃取したアカウント情報（メールアドレスなど）を利用した標的型攻撃、リスト型攻撃による不正アクセスは、現在のサイバー攻撃の主流といってよい。

およそ現実的でないパスワード管理

　パスワードに関しては、もうひとつ別の問題もある。管理しなければならない数が多すぎるのだ。平均的な社会人なら、業務システムや個人利用のECサイト、SNSアカウントなど10や20のパスワードは普通に使っているだろう。パスワードマネージャを提供するある企業の調査では、そのサービス利用者の平均パスワード数は191だったという。

　一般にパスワードは長いほどよいとされ、同じパスワードを別のアカウントでも使う（使いまわし）のはNGとされる。以前は、文字種を複数混在させ、定期的に変更するという運用が推奨されていたが、現在の基準はパスワードの長さと使いまわしの制限に絞る傾向にある。いずれにせよ、すべてのパスワードを暗記しておくことは現実的ではない。

　人々は生活や仕事をするうえで多数のパスワードを使わざるを得ない。覚えにくくわかりづらいフレーズを多数暗記するなど、およそ現実的でない管理を強いられている。安全のため、そのルールを厳しく面倒にするほど、じつは簡単なパスワードや使いまわしを助長するという皮肉な状況もある。

パスワードマネージャから脱パスワードへ

　パスワードの漏えいは現実的に防ぐことが困難だ。いまやパスワードは、すでに漏れている前提で考える必要がある。また、安全なパスワードを記憶で管理することもほぼ不可能なほど、生活・ビジネスのあらゆる場面に浸透している。パスワードによって確保されるセキュリティ効果と、それに必要な管理コスト（システムコストおよび人的コスト＝手間）はバランスしなくなってきている。

　たくさんのパスワードを安全に管理するには、まず、パスワードマネージャやシングルサインオンシステムの導入が考えられる。これらは、プログラムまたはクラウド上のサーバーが、利用するサービスやシステムのパスワードを保存・管理してくれるものだ。ユーザーがパスワードマネージャひとつにログイン（認証）すれば、他のシステムやサイトへのログインを代行してくれる。

　その一方で、企業およびウェブ上のサービスでは「脱・ID/パスワード」という動きもある。FIDOという公開鍵暗号方式をベースとした新しい認証基準（トークンや生体認証を活用しパスワード不要とする）がその代表だろう。しかし、現実的にはすぐにパスワードを廃止できるわけではない。パスワードの機能が全く失われたわけではないし、様々な用途に適用可能で、情報システムの基盤のひとつになったパスワードをそう簡単には捨てられないからだ。そのため、いまのところ「パスワードだけに頼らない」という運用が広がっている

メジャーなサービスは2段階認証、2要素認証を導入

　近年、主流となりつつあるのは2段階認証、2要素認証と呼ばれる方式の導入だ。これらは、通常のID/パスワードによるログイン認証に加え、別のログインパスワードや手続きをとることでセキュリティを強化するものだ。ログインパスワードは守り切れないものとし、買い物をするとき、お金を動かすとき、個人情報を扱うときなど状況に応じて、追加の認証を行うという考え方だ。

　2段階認証と2要素認証の違いは、追加で要求する認証情報の種類の違いだ。2段階認証は言葉どおり、認証手順が2回になったもので、ログインパスワードと別のパスワードで認証を行う。オンラインバンキングの送金時に、第2パスワードやセキュリティトークン利用を要求する認証が該当する。

　セキュリティトークンは、一定時間ごとに乱数を生成するデバイスだ。サーバーと事前にパスワードを共有保存するのではなく、トークンとサーバーで同じ仕組みの（疑似）乱数生成を行うことで、相手が正しいかを認証する。乱数はログインタイミングごとに変わる「ワンタイムパスワード」なので、不正アクセスやサイバー攻撃でパスワードを盗むことは非常に困難となる。

　第2パスワードは記憶に頼るという点で従来のログインパスワードと同じ種類のパスワードだ。一方、物理的な符合やカード、トークンによって行う認証は、記憶とは違う種類の認証となる。2段階認証のうち、認証要素が異なるものを組み合わせたものを2要素認証と呼ぶ。トークンの代わりにスマートフォンや携帯電話などにパスコードを送る方法もある。

　スマートフォンのアプリやSMSでパスコードをやり取りする方法は、SNSやECサイトのログインでも一般化しつつある。大手のサイトはほぼ導入している。ヤフー・ジャパンは、ログイン時に毎回異なるパスコードをSMSで送る方式の認証を導入している。段階的にパスワードによる認証をやめる動きのひとつといってよい。なお、FacebookやTwitterなどでも利用されるSMS（つまり携帯電話にショートメッセージでパスコードを送る）を使った認証は、SMSのプロトコルに脆弱性があるので、この方式を推奨しない意見もある。

認識精度の向上が生体認証の実用域を広げる

　パスワードに代わる認証方式として、現在注目されているのは生体認証だ。指紋や虹彩パターン、声紋など個人の生体的な特徴を利用した認証技術は古くから研究されているが、近年のセンサー技術の発達、機械学習などを取り入れた認識技術の発達により、その応用範囲が広がっている。

　以前の生体認証は、読み取り精度を上げるには、機器のコストが高くなり政府機関など高度なセキュリティを要する場合以外には現実的ではなかった。しかし、指紋認証、手のひら認証（手のひらの静脈パターンを読み取る）などは、企業ユースならばコストに見合う精度が確保でき、実用段階に入っている。手のひら認証には、富士通のPalmSecure というソリューションがある。日立は指の静脈パターンを読み取る認証ソリューションを展開している。簡易的なものなら、USBに接続するドングル型のUSB指紋認証システムセットなども市販されている。

　Apple Watchは第2世代から、Macなど他のデバイスをロック解除する機能が備わっている。Macにログインするとき、本人がApple Watchを手首に装着していて本体の近くにいれば、ロック解除（ログイン）が自動的に行われる。Apple Watchでは、ベルトと背面にセンサーが内蔵されており、腕に装着されているか、本人かどうかを認識している。Appleは詳細情報を開示していないが、単に人間の手首に装着されているかどうかだけでなく、手首の静脈パターンなどで認証を行っていると思われる。

生体認証の課題と今後

　顔認証技術も進んでいる。国内ではNECがこの領域で古くから研究を続けており、業務システム向けにはさまざまな製品に利用されている。例えば、カメラのついたデジタルサイネージで、看板を見ている人の性別や年齢を読み取り表示する広告を切り替えるといった技術だ。セキュリティ関連では、顔認証による入退室管理やログイン・ロック解除のソリューションNeoFace Monitorなどを持っている。

　コンシューマ製品でも生体認証は珍しくなくなっている。Androidスマートフォンでも一定以上のモデルなら指紋リーダーを搭載しているものが多いし、iPhoneの指紋認証は愛用しているユーザーが多い。2017年、AppleがiPhone Xに導入した顔認証（Face ID）はコンシューマ製品とは思えない読み取り精度を備えている。Face IDは、通常のカメラの他赤外線スキャナーも利用して、暗闇、サングラスなどでも問題なく本人を識別する。さらに赤外線スキャナーは対象を立体的な点群として捉えるため、平面の写真ではロック解除できない。

　生体認証の欠点は、鍵となる情報が簡単に変えられないものであること。同時に鍵（指紋、顔など）の情報が変質または喪失することだ。例えば、パスワードやパスコードは漏れたら、別のパスワードに切り替えることができるが、指紋パターンや顔写真のデータが盗まれたからといって、指紋や顔を変えることは非常に難しい。また、顔は年齢とともに変わってくるし、手術やケガで認証できなくなる可能性もある。もし腕が切断されるような事故が起きた場合、手のひら認証や指紋認証が使えなくなるかもしれない。

　このため、いまのところ生体認証だけですべてを済ませるのは無謀だ。従来型の記憶に頼るパスワードとの併用が前提となるだろう。またDNA情報や生体情報は極めて機微性の高い個人情報だから、生体情報を認証に使う場合、サーバーに保管する方法より、デバイスだけに厳重に（暗号化、アクセス制御など）保管すべきものだ。

　以上のような課題はあるものの、運用の限界に近づきつつあるパスワードに頼らないセキュリティ技術が、徐々に広がってきている。